In all dem Leak Trubel rund um das anstehende Huawei Mate 10 / Mate 10 Pro, bin ich die Tage mal wieder auf ein altbekanntes Thema gestossen – SIcherheit. Wobei das Thema hier in – manchmal hitzigen – Diskussionen oft auch andere Namen hat. Mir fallen da Huawei Update Politik, regelmäßige Sicherheitspatches, Root und so weiter ein.
Aber worum geht es überhaupt?!
Die University of California hat ein Analyse-Tool namens BootStomp entwickelt, mit der die Integrität von Bootloadern getestet werden kann. Als Plattform kamen die Bootloader von MediaTek, Qualcomm, NVIDIA und HiSilicon (Huawei) zum Einsatz. Dabei wurden auch beim Huawei Bootloader (getestet auf dem Huawei P8 LIte 2015) gleich mehrere schwere Sicherheitslücken entdeckt.
Durch diese Sicherheitslücke kann ein Schadcode eingespielt werden. Dieser kann beispielsweise dazu führen, dass das Gerät dauerhaft unbrauchbar gemacht („denial-of-service“) wird oder dass der Bootloader entsperrt und weiterer Zugriff auf die Kontrolle des Gerätes ermöglicht wird.
Schutzmechanismen von Android greifen hier nicht, da der Bootloader vor der Ausführung des eigentlichen Betriebssystems aktiv ist.
Panik? Bitte nicht!
Mit den Fakten bis hierhin, hätte man einen herrlichen Artikel mit reißerischer Clickbait Überschrift schreiben können. Mich persönlich wundert es sogar, dass lediglich Heise und GoogleWatchBlog bislang darüber berichtet haben.
Warum Panik auch überhaupt nicht nötig ist, erschließt sich, wenn man den Bericht weiter liest.
Denn der Zugriff auf die Sicherheitslücken ist nur dann möglich – AUFPASSEN! – wenn das Gerät gerootet wurde! Ohne Root Zugriff sind die Sicherheitslücken nicht relevant.
Zudem muss ein physischer Zugriff auf das Gerät bestehen. Ein potentieller Angreifer müsste sich also des Gerätes – zumindest vorübergehend – bemächtigen.
Und damit sind wir dann auch wieder bei meinem Grundsatz:
Fakten – statt Panikmache
Bereits mehrfach hatte ich zum Thema Update Politik und vermeintlich benötigten regelmäßigen Sicherheitsupdates berichtet. Und auch auf der IFA 2017 habe ich dieses Thema mit einem Verantwortlichen von Huawei besprochen. Hier wurde mir nochmals bestätigt, dass man sich der Sicherheitsthematik sehr wohl annimmt. Allerdings differenziert man bei der Implementierung von Sicherheitspatches. Man schaut sich – so die Aussage – die Patches differenziert an und bewertet, ob – und wenn ja, welche – Relevanz diese für die eigenen Geräte haben. Wie schon im oben verlinkten Artikel erläutert, ist nicht jede schwere Sicherheitslücke für alle Hersteller von Relevanz. Tritt die Lücke beispielsweise im Treiber einer Komponente auf, die nur bei bestimmten Herstellern und Geräten verbaut ist, dann ist es eben nicht zwingend nötig den Sicherheitspatch sofort auch in Firmware aller anderen Geräte zu implementieren.
Root – Ja oder Nein?
Und auch zum Thema Root und TWRP hatte ich vor einer Weile – im Kontext des Themas Datensicherung und Backup – einen Artikel geschrieben.
Ich selber habe jahrelang jedes Gerät erst einmal gerootet und ein alternatives Recovery – zuletzt TWRP – aufgespielt. Hauptsächlich zum Flashen von Custom ROMs und um ein vollständiges Backup zu machen. Die große Zeit der Custom ROMs ist inzwischen vorbei. Und mit der App Datensicherung bietet Huawei inzwischen eine richtig gute Backup Lösung an.
Aber es gab auch viele Kommentare, in denen Leser/Nutzer hervorhoben, wie wichtig Root für sie ist. Als Anwendungsbereich wurde dabei sehr oft ein effektiver Ad Blocker genannt. Ich möchte hier jetzt gar nicht auf das Thema Ad Blocker eingehen. Viel mehr habe ich beim Durchstöbern der Kommentare festgestellt, dass doch einige derjenigen, die unbedingt rooten wollen, an anderer Stelle die regelmäßigen Patches zur Sicherheit fordern.
An dieser Stelle wiederhole ich aus gegebenem Anlass direkt mal, dass wir hier niemandem vorschreiben sollen, ob er rooten soll oder nicht. Beim letzten Artikel wraen hier nämlich einige der Meinung sie müssten mir jegliche Kompetenz zu dem Thema absprechen.
Deshalb lasse ich auch hier lieber Fakten, oder in diesem Fall einen der beteiligten Forscher, sprechen.
One might say, ‘Well if they have root access, that’s already game over. Why even bother?‘
(Nilo Redini im Interview mit Kaspersky Blog)
Frei übersetzt bedeutet das zum Thema Sicherheit auf dem Smartphone, dass Root-Zugriff per se schon „Game Over“ bedeutet.
Fazit
Hier kann ich mich nur wiederholen. Lasst euch nicht verunsichern von reißerischen Artikeln zum Thema Updates und Sicherheitspatches. Schaut euch lieber Fakten an und macht euch ein eigenes Bild. Das musst auch gar nicht das gleiche sein,w as wir hier vermitteln. Wichtig ist, dass ihr nicht blindlings irgendwelchen postulierten Meinungen – die leider gerne in Foren mantra-mäßig vorgebetet werden – folgt, sondern euch bei Fragen und Unsicherheiten zu diesem Thema Informationen holt.
Wer mehr zu dem Thema hier wissen möchte, findet hier den Vortag zum BootStomp-Projekt, welches auf der diesjährigen USENIX-Konferenz präsentiert wurde. Das Whitepaper des Forschungsteams ist ebenfalls verfügbar.
Super Bericht Marco.Ich weiß schon warum ich meine Handys nicht Route.Man braucht nur mal bei android Hilfe zu schauen wie viele Leute ihr Handy lahmlegen durch den sch…Ich verstehe nicht warum der Schwachsinn nicht endlich vom Markt verschwindet.
Sorry Roote natürlich.
Danke Dir!
Wer gerne experimentiert, der benötigt natürlich Root um das zu tun. Das will ich auch niemandem absprechen. Einzig die immer wieder von „Alltags-Nutzern“ herausgekramten Begründungen für Root gehen aus meiner Sicht mehr und mehr in Rauch auf.
Aber wie gesagt, ich kann nur berichten. Entscheiden muss jeder selber!
Danke für den Artikel. Wie sieht es denn seitens Huawei aus in Bezug auf BlueBorne? Google hat dies mit dem Septemberpatch gelöst. Aktueller Stand bei meinem P9 ist aber der 01.08.17.
Aktuell wird für das Mate 9 das Update B194 ausgerollt. Ebenfalls noch mit Sicherheits-Ebene August. Ein aktuellerer Stand ist mW derzeit noch für kein Huawei verfügbar.
Insbesondere, wenn man Besitzer eines MediaPad ist, ist die Begeisterung über die Update-Politik doch recht gering. Dies führt natürlich zur Verunsicherung der Kunden. Da sollte man sich mal was einfallen lassen, evtl. reicht auch, wenn man erfahren würde, warum Updates nicht zwingend erforderlich sind. Andererseits nervt, wenn man schon ein halbes Jahr länger auf eine Update warten muss, wenn dann nicht die aktuellste Version verbreitet wird.
Das Thema sprechen wir inzwischen jährlich auf der IFA an. Leider bislang nur mit mäßigem Erfolg.
Andererseits sage ich – als Besitzer eines MediaPad M2 – dass die Dinger erstaunlich tadellos laufen und ich ehrlich gesagt hier am allerwenigsten Updates vermisse.
Selbst der Umstieg von Lolipop auf Marshmallow beim M2 macht sich in der täglichen Praxis bei mir wirklich null bemerkbar.
Hallo Marco, ich glaube wir sind uns vermutlich einig, dass Huawei für die MediaPads was machen muss. Bei mir ist der Umstieg auf die 7.0 auch ohne Probleme gelaufen und so läuft es auch. Dies bedeutet aber nicht, dass da nicht im System „Scheunentore“ offen sind, wie wir jetzt beim Thema „BlueBorne“ erfahren haben. Abgesehen davon gibt es schon eine Weile 7.1 und 7.1.1 auf dem Markt. Diese Versionen sind sicher nicht nur wegen der besseren Optik auf den Markt gekommen.
Gruß
Klaus
Naja, ob neue Versionen immer „besser“ sind, da kann man trefflich drüber philosophieren. Was haben denn die letzten Android Versionen an bahnbrechenden Neuerungen gebracht?
Wie gesagt, ich habe mein M2 von Lollipop auf Marshmallow umgestellt und merke null Unterschied im Alltag.
Und zum Thema Sicherheit – ist aber nur meine Meinung – stelle ich seit Jahren fest, dass der Aufschrei im Vergleich zu realen „Angriffen“ in einem doch sehr zweifelhaften Verhältnis steht. Damit will ich die Sicherheitslücke nicht klein reden, wohl aber den Hype, der dann regelmäßig veranstaltet wird.